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Prufungsantrag gem. § 44 PatG ist gestellt 

@ Verfahren zur Sicherung von ladbaren Guthaben in Chipkarten 

(§) Die Chipkarte (CHK) wird fur Debit-Anwendungen genutzt. 
Das Guthaben (GUT) kann an Aufbuchungsstellen (KA, HO) 
erhoht und an Abbuchungsstellen (FA) erniedrigt werden. 
Die in der Chipkarte (CHK) gespeicherten Guthaben (GUT) 
sind durch mindestens ein jeweils von bestimmten Kommu- 
nikationspartnern erzeugbares Zertifikat (CER) gesichert. 
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Beschreibung 

Die Prozessorchipkarte ist fur eine Vielzahl von An- 
wendungen - z. B. POS-Banking. Rechnerzugang, Te- 
lefonkarte — geeignet. Beschrankt man sich auf die An- 
wendungen der Chipkarte als Zahlungsmittel. dann kon- 
nen prin/ipiell zwei Anwendungsarten unterschieden 
werden: 

— die Kreditanwendung; dabei werden beim Wa- 
renaustausch Buchungsdaten. wie z. B. Kontonum- 
mern ausgetauscht und Oberweisungsauftrage er- 
teilt 

- die Debitanwendung; dabei werden beim Wa- 
renaustausch geidwerte Informationen aus der 
Karte "entnommen", z. B. werden bei der Telefon- 
karte bereits beim Kartenerwerb bezahite, auf der 
Karte gespeicherte Gebuhreneinheiten geloscht. 
Sind alle Gebuhreneinheiten geioscht. dann ist die 
Karte wertlos und wird entsorgt. 

Urn die Anwendung der Chipkarte im Debitbereich 
preisgiinstiger zu gestalten, gibt es Verfahren, mit denen 
man bestimmte Bereiche der Chipkarte wieder aufladen 
kann. "Verbrauchte" Chipkarten werden dem ausgeben- 
den Institut zuriickgegeben. Diese Institute verfugen 
uber die Kenntnis und die Fahigkeit. die Chipkarten 
wieder mit geldwerter Information zu laden. 

Ein solches Vorgehen ist aber verhaltnismaBig urn- 
standlich. Solche Debit-Chipkarten durften deshalb auf 
Akzeptanzprobleme stoBen. Anzustreben ist eine Chip- 
karte fur Debit-Anwendungen, die jederzeit an einer 
Vielzahl von Aufladestationen — z. B. bei Banken, 
Handlern etc. — wieder aufgeladen werden konnen. 

Die der Erfindung zugrundeliegende Aufgabe ist es, 
ein Verfahren aufzuzeigen, das fur Guthaben in Chip- 
karten, die an einer Aufiadestation immer wieder mit 
geldwerter Information geladen werden konnen. ein 
HochstmaB an Sicherheit bietet. Dazu soil die Chipkarte 
\ jede Manipulation an der Chipkarte selbst wirksam ver- 
\hindern und Manipulationen an den Aufbuchungs- und 
^bbuchungsstellen erkennen konnen. 
\Diese Aufgabe wird durch die im Anspruch 1 angege- 
benen Merkmale gelost. 

Die Chipkarte arbeitet dabei z. B. nach einem in EP 
9 01^13 9907 beschriebenen Verfahren. Fur verschiede- 
ne Anwendungen (z. B. Abbuchen, Aufbuchen) werden 
vom Kommunikationspartner in der Chipkarte gespei- 
cherte Basisfunktionen in einer jeweils in einem Proto- 
koll festgelegten Reihenfolge abgearbeitet. Die Einhal- 
tung der\Protokollreihenfolge wird von der Chipkarte 
selbst uberwacht. Welches Anwendungsprotokoll maB- 
gebend ist\wird bei der Initialisierung der Kommunika- 
tionspartner festgelegt. Die Initialisierung erfolgt nach 
erfolgter elektrischer, elektromagnetischer oder opti- 
scher Verbindung der Kommunikationspartner. Prak- 
tisch ist damit z. B. ausgeschlossen, daB an einer Abbu- 
chungsstelle eine Aufbuchung stattfindet und umge- 
kehrt. \ 

Zusatzlich wird durch eine gegenseitige oder auch 
einseitige Authentication sichergestelk, daB nur einan- 
der bekannte Kommunikationspartner miteinander Da- 
ten austauschen. Fur eine Authentifikation ist eine ein- 
deutige Identifizierbarkeit der Kommunikationspartner 
Voraussetzung. Diese ist zum Beispiel durch Vergabe 
von Nummern (Chipkartennummer, Abbuchungsstel- 
lennummer, Aufbuchuhgsstellennummer) erreichbar. 
Des weiteren miissen, urn eine Authentifikation durch- 
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fiihren zu konnen. zwischen den Kommunikationspart- 
nern kryptografische Schlussel vereinbart sein. (e nach 
den technischen Moglichkeiten der cinzelnen Kommu- 
nikationspartner sind diese Schlussel fur symmetrische 
5 oder asymmetrische Verschlusselung vereinbart. Bei 
symmetrischer Verschlusselung ist speziell fur jedes 
mogliche Paar von Kommunikationspartnern ein 
Schlussel vereinbart. Bei asymmetrischer Verschlussel- 
ung ist jedem Kommunikationspartner ein geheimer 

io und ein offentlicher Schlussel zugeordnet. Diese Kenn- 
groBen (spezielle Nummern und Schlussel) konnen ge- 
maB dem vorliegenden Verfahren zusatzlich zur Siche- 
rung der ladbaren Guthaben in der Chipkarte verwen- 
det werden. Es versteht sich, daB auch speziell fur diese 

is Sicherung des Guthabens Nummern und Schlussel ver- 
einbart werden konnen. Anzumerken ist auch, daB sich 
die KenngroBen nur auf die verwendeten Kommunika- 
tionspartner beziehen. Riickschlusse auf den Benutzer 
einer Chipkarte sind damit von vornherein stets ausge- 

20 schiossen. 

Wird die Chipkarte mit einer Aufbuchungs- bzw. Ab- 
buchungsstelle verbunden und ist die Authentizitat der 
Kommunikationspartner festgesteilt, dann fordert die 
Aufbuchungsstelle bzw. die Abbuchungsstelle das in der 
25 Chipkarte gespeicherte Guthaben und ein oder mehrere 
dazugehorige(s) ebenfalls gespeicherte(s) Zertifikat(e) 
an. 

Ein Zertifikat wird mit Hilfe eines Verschlusselungsal- 
gorithmus nach der Beziehung 

30 

Zertifikat = f (Schlussel, Guthaben), 
bestimmt. 

Ein Zertifikat kann demzufolge nur von demjenigen 

35 Kommunikationspartner berechnet werden. der den 
Schlussel und das Guthaben kennt und den Verschlus- 
selungsaigorithmus ausfuhren kann. Dies gilt bei Ver- 
wendung eines symmetrischen Verschlusselungsalgo- 
rithmus (z. B. DES (Data-Encryption-Standard)) auch 

40 fur die Uberprufung des Zertifikates. Bei Verwendung 
von asymmetrischen Verschlusselungsverfahren (z.B 
RSA) kann jeder, der den Verschlusselungsalgorithmus 
ausfuhren kann, anhand des offentlichen Schlussels und 
des Guthabens die Echtheit des Zertifikats und damit 

45 die Giiftigkeit des ubermittelten Guthabens uberpriifen. 
Nach erfolgreichem Vergleich des aus Schlussel und 
Guthaben in der Aufbuchungsstelle oder Abbuchungs- 
stelle bestimmten Zertifikates mit dem aus der Chipkar- 
te angeforderten Zertifikat kann das Guthaben veran- 

50 dert werden. Handelt es sich beim Kommunikations- 
partner urn eine Aufbuchungsstelle, so wird das Gutha- 
ben erhoht. Handelt es sich um eine Abbuchungsstelle. 
dann wird das Guthaben vermindert. 

Das Guthaben mit Zertifikat kann auf unterschiedli- 

55 che Art und Weise verandert werden: 

1. Die Aufbuchungsstelle bzw. Abbuchungsstelle 
addiert bzw. subtrahiert einen Geldbetrag zum 
Guthaben. Zu dem sich aus der Addition bzw. Sub- 

60 traktion ergebenden neuen Guthaben berechnet 
die Aufbuchungsstelle bzw. Abbuchungsstelle ein 
oder mehrere neue(s) Zertifikat(e). Diese(s) Zertifi- 
kat(e) ubermittelt sie gemeinsam mit dem neuen 
Guthaben zur Chipkarte. 

65 2. Die Aufbuchungsstelle bzw. Abbuchungsstelle 
bestimmt wie bei 1. die/das Zertifikat(e). Das neue 
Guthaben wird aber auf der Chipkarte selbst er- 
rechnet. In diesem Falle entfallt die Ubertragung 
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des neuen Guthabens von der Aufbuchungsstelle 
bzw. Abbuchungsstelle zur Chipkarte. 

3. Die Aufbuchungsstelle bzw. Abbuchungsstelle 
bestatigt der Chipkarte die Echtheit des Guthabens 
durch Ubermitteln einer entsprechenden Nach- 
richt. In der Chipkarte wird dadurch eine Funktion 
angeregt, die es der Chipkarte erlaubt, das neue 
Guthaben selbst zu berechnen, und das/die neue(n) 
Zertifikat(e) seibstandig zu bestimmen. 

4. Die Aufbuchungsstelle bzw. die Abbuchungsstel- 
le addiert bzw. subtrahiert einen Geldbetrag zum 
bzw. vom Guthaben. Zum resultierenden neuen 
Guthaben bestimmt die Abbuchungsstelle wenig- 
stens ein neues Zertifikat. Dieses neue Zertifikat 
wird zur Chipkarte ubertragen. Die Chipkarte er- 
hiilt gemeinsam mit dem Zertifikat das neue Gutha- 
ben mitgeteilt oder errechnet es selbst. Aus dem 
neuen Guthaben und einem weiteren Schliissel be- 
stimmt die Chipkarte mindestens ein weiteres neu- 
es Zertifikat. 

Das neue Guthaben mit alien neuen Zertifikaten und 
eventuell auch die Nummern der beteiligten Kommuni- 
kationspartner wird als Buchungssatz zumindest in der 
Chipkarte gespeichert. Aus diesem Buchungssatz kann 
spater nachvollzogen werden, welche Kommunika- 
lionspartner miteinander geldwerte Information ausge- 
tauscht haben. 

Mit dem erfindungsgemaBen Verfahren wird ein urn- 
fassender Schutz fur ladbare Guthaben auf Chipkarten 
oder sonstigen tragbaren Datentragern erreicht. Bu- 
chungen konnen nur gemeinsam mit authentisierten 
Kommunikationspartnern wirksam durchgefiihrt wer- 
den. Nur Guthaben mit richtigen Zertifikaten werden 
als gultig anerkannt. Es ist fur eine ubcrgeordnete Stelle 
anhand der gespeicherten Buchungssatze moglich. fest- 
zustellen, wer mit wem kommuniziert hat und welcher 
Kommunikationspartner moglicherweise manipuliert 
war. 

GemaB einer Weiterbildung und Ausgestaltung des 
Verfahrens wird das Guthaben in der Chipkarte in Form 
einer Mehrzahl von Gutscheinen eines bestimmten No- 
minalwertes gespeichert. Jedem Gutschein wird ein Zer- 
tifikat angefiigt. Bei dieser Ausfiihrungsform eignet sich 
die Verwendung eines asymmetrischen Verschliissel- 
ungsverfahrens zur Zertifikatbestimmung besonders 
gut. 

Die Aufbuchungsstelle erzeugt mit einem geheimen 
Schliissel. der auch kartenspezifisch sein kann, die Zcrti- 
fikate zu den einzelnen Gutscheinen. Nach obigem Ver- 
fahren werden eine Mehrzahl von Gutscheinen mit Zer- 
tifikat in der Chipkarte gespeichert. Die Abbuchungs- 
stelle vergewissert sich, daB ausreichend echte Gutha- 
ben in der Chipkarte gespeichert sind, indem sie die 
Zertifikate mit einem passenden dffentlichen Schliissel 
ubcrpruft. Zur Verringerung des Guthabens auf der 
Chipkarte werden lediglich eine entsprechende Anzahl 
Gutscheine auf der Chipkarte ungiiltig gemacht. 

Diese Weiterbildung gewahrleistet, daB auf der Chip- 
karte kein Restbetrag entstehen kann. daB keine gehei- 
men Schliissel auBerhalb der Aufbuchungsstelle vorhan- 
den sein miissen. und dennoch ausreichend gesicherte 
iiberpriifbare Guthaben auf der Chipkarte gespeichert 
werden konnen. 

Weitere Ausgestaltungen und Weiterbildungen des 
erfindungsgemaBen Verfahrens sind in weiteren Unter- 
anspriichen angegeben. 

Ein Ausfuhrungsbeispiel der Erfindung wird anhand 
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der Zeichnung naher erlautert. Es zeigen: 

Fig. 1 eine prinzipielle Ablaufdarstellung des erfin- 
dungsgemassen Verfahrens, 

Fig. 2 die Kommunikationspartner. die an einer spe- 
5 ziellen Ausfiihrungsform des Verfahrens beteiligt sind, 

Fig. 3 ein Schaubild, in dem dargestellt ist, wer in der 
speziellen Ausfiihrungsform aus Fig. 2 welches Zertifi- 
kat bestimmen kann, 

Fig. 4 ein Protokoll zum Aufbuchen des Guthabens 

10 einer Chipkarte nach dem Ausfuhrungsbeispiel gemaB 
Fig. 2 und 

Fig. 5 ein Protokoll zum Abbuchen des Guthabens 
einer Chipkarte nach dem Ausfuhrungsbeispiel gemaB 
Fig. 2 

15 In Fig. 1 ist eine prinzipielle Ablaufdarstellung des 
erfindungsgemaBen Verfahrens dargestellt. Neben ei- 
nem Block, der eine Chipkarte CHK reprasentiert. er- 
scheint ein Block, der eine Aufbuchungsstelle KA. HO 
bzw. eine Abbuchungsstelle FA darsteht. In einer Abfol- 

20 ge von oben nach unten verlaufen mehrere Pfeile zwi- 
schen den beiden Blocken. Der erste Pfeil symbolisiert 
die Initialisierung INIT, die im AnschluB an die elektri- 
sche Verbindung der beiden Kommunikationspartner 
erfolgt. In AnschluB an die Initialisierung INIT ist der 

25 Kommunikationspartner fur die Chipkarte CHK be- 
kannt und auf der Chipkarte kann infolgedessen ein 
speziell fur diesen Kommunikationspartner giiltiges 
Protokoll abgearbeitet werden. Dieses Protokoll sieht 
zunachst eine gegenseitige Authentifikation AUTH 

io zwischen Chipkarte CHK und Kommunikationspartner 
FA, KA, HO vor. Erst wenn die Authentifikation AUTH. 
beispielsweise nach dem Challenge- and Response- Ver- 
fahren, erfolgreich beendet ist. werden Daten DAT von 
der Chipkarte CHK zum Kommunikationspartner FA. 

35 KA, HO ubertragen. Die zu iibertragenden Daten DAT 
werden vorher durch einen Message Authentication 
Code MAC gesichert. Der MAC wird gemeinsam mit 
einem Guthaben GUT und wenigstens einem Zertifikat 
CER zum Kommunikationspartner FA. KA, HO iiber- 

40 tragen. lm Kommunikationspartner erfolgt eine Ober- 
priifung CHEK der ubertragenen Daten DAT anhand 
des MAC und anschiieBend des ubertragenen Gutha- 
bens GUT anhand des Zertifikates CER. Nach erfolgrei- 
cher Uberpriifung CHEK errechnet der Kommuniak- 

45 tionspartner FA, KA. HO ein neues Guthaben NGUT 
und mindestens ein dazugehdriges neues Zertifikat 
NCER. Zu diesem neuen Guthaben NGUT und dem 
neuen Zertifikat NCER errechnet der Kommunika- 
tionspartner FA, KA. HO einen MAC und ubertragt 

50 diese Daten DAT anschiieBend zur Chipkarte CHK. Die 
Chipkarte CHK bestimmt unter Umstanden ein weite- 
res neues Zertifikat NCER, und fiigt es den ubertrage- 
nen Daten an. Der Auf- oder Abbuchungsvorgang ist 
damit beendet und die Chipkarte CHK kann wieder 

55 vom Kommunikationspartner FA, KA. HO getrennt 
werden. 

Fig. 2 zeigt die Komponenten, die bei einer speziellen 
Ausfiihrungsform des Verfahrens benotigt werden. Die- 
se spezielle Ausfiihrungsform beschreibt die Verwen- 

bo dung der Chipkarte CHK zum Kauf von Fahrscheinen T 
fur offentliche Verkehrsmittel. Ein Kunde KU ist Besit- 
zer einer Chipkarte CHK. Urn diese Chipkarte CHK mit 
einem Geldbetrag BETR zu laden, begibt er sich zu 
einem Handler. Dieser Handler verfiigt iiber eine Hand- 

65 lerkasse KA. die iiber eine Dateniibertragungsleitung 
DU mit einem Host-Rechner HO verbindbar ist. Die 
Handlerkasse KA und der Host-Rechner HO verkor- 
pern die Aufbuchungsstelle. Nach erfolgter Aufbuchung 
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der Chipkarte CHK erhalt der Kunde KU ein Journal |. 
auf dem der Handler die Aufbuchung des Geldbetrages 
BETR auf der Chipkarte CHK bestiitigt. Mit dieser 
Chipkarte CHK kann nun der Kunde KU bei jedem. 
dem offentiichen Verkehrssystem zugehorigen Fahr- 5 
scheinautomaten FA einen Fahrschein Terwerben. Der 
Fahrkartenautomat FA verkorpert dabei die Abbu- 
chungsstelle. Der Fahrkartenautomat FA arbeitet Off- 
Line. 

Die Sicherung der Guthaben GUT auf den zu dem in 10 
Fig. 2 dargestellten offentiichen Verkehrssystem geho- 
rigen Chipkarten CHK wird in Fig. 3 veranschaulicht. 
Jedem Guthaben GUTX, GUTY werden zwei vom Gut- 
haben GUTX. GUTY abhangige Zertifikate CER(X) 
CHK A. CER(X)FA bzw. CER(Y)CHKB. CER(Y)FA an- 15 
gefiigt. Durch Pfeile ist in Fig. 3 verdeutlicht. welcher 
Kommunikationspartner CHKA, CHKB, HO, FA wel- 
ches Zertifikat CER bestimmen kann. Demnach ist der 
Host-Rechner HO in der Lage, samtliche Zertifikate 
CER zu bestimmen. Der Fahrscheinautomat FA kann 20 
die Fahrkartenautomatenzertifikate CER(X)FA. 
CER(Y)FA bestimmen, und jede Chipkarte CHKA bzw. 
CHKB kann jeweils nur ihr kartenspezifisches Zertifikat 
CER(X)CHKA bzw. CER(Y)CHKB bestimmen. 

Im einzelnen werden die Zertifikate CER durch fol- 25 
gende Gleichungen bestimmt: 

CER(X)CHKA = f(K(A),GUTX) 
CER(Y)CHKB - f(K(B), GUTY) 

CER(X)FA = f(K(FA),GUTX) }0 
CER(Y)FA = f( K(FA), GUTY) 

In diesem hier beispielhaft aufgezeigten symme- 
trischen Verschliisselungsverfahren werden geheime. 
jeweils zwischen zwei Kommunikationspartnern gultige 35 
Schlussel K verwendet. Die Schlussel K fur die karten- 
spezifischen Zertifikate CER(X)CHKA bzw. 
CER(Y)CHKB ihrerseits werden durch eine sogenannte 
Einwegfunktion g (keine Umkehrfunktion vorhanden) 
aus einem geheimen Schlussel K' einer Chipkartennum- 40 
mer CHKNR nach der Beziehung 

K(A) = g(K',CHKNR(A)) 
K(B) = g(K'.CHKNR(B)) 

45 

gebildet. 

Die geheimen Schlussel K' konnen jeweils fur mehre- 
rc Chipkarten CHK identisch sein. Die Einwegfunktion 
g muB nicht in jedem Kommunikationspartner ausge- 
fiihrt werden. Es genugt. wenn lediglich der Host-Rech- 50 
ner HO diese Einwegfunktion g ausfuhren kann. In den 
Chipkarten CHK kann jeweils der Chipkartenschlussel 
K(A). K(B) direkt gespeichert und verwendet werden. 

Um einen weitergehenden Schutz des Guthabens 
GUT zu erzielen, z. B. einen Schutz gegen Wiederein- 55 
spielen des Automatenzertifikates CER(X)FA. 
CER(Y)FA, kann dieses Zertifikat CER(X)FA. 
CER(Y)FA. auch kartenspezifisch nach folgender Glei- 
chung bestimmt werden: 

60 

CER'(X)FA = F( K(FA), GUTX. CHKNR(A)) 
CER'(Y)FA = F(K(FA), GUTY, CHKNR(B)) 

Anhand der Fig, 4a bis 4g werden im folgenden die 
Verfahrensablaufe beim Aufbuchen einer Chipkarte 65 
CHK, die in einem System gemaB den Fig. 2 und 3 ver- 
wendet wird, dargelegt. Der Verfahrensablauf ist eine 
Abfolge einzelner Funktionen. Die am Aufbuchungs- 
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vorgang beteiligten Systemkomponenten sind: 

- eine Chipkarte CHK 

- eine Handlerkasse KA mit Sicherheitsmodul 
KASM 

- ein Host-Rechner HO mit Sicherheitsmodul 
HOSM. 

Die Sicherheitsmodule KASM bzw. HOSM sind be- 
sonders geschutzte Bereiche innerhalb der Handlerkas- 
se KA bzw. des Host-Rechners HO. Fur jede System- 
komponente ist in der Figur eine Spalte vorgesehen. Da 
die Handlerkasse KA sowohl mit dem Host-Rechner 
HO als auch mit der Chipkarte CHK kommuniziert. sind 
fur die Handlerkasse KA aus Griinden der Ubersicht- 
lichkeit zwei Spalten vorgesehen. Jede Funktion wird 
durch einen rechteckigen Rahmen symbolisiert. Die 
Funktionen sind fortlaufend numeriert. Ein Pfeil ober- 
halb des rechteckigen Rahmens zeigt, aus welcher Sy- 
stemkomponente die Eingangsdaten der Funktion stam- 
men. Ein Pfeil unterhalb des rechteckigen Rahmens 
zeigt an, wem die Ausgangsdaten der Funktion ubermit- 
telt werden. 

Anhand der Funktionsnumerierung wird der Verfah- 
rensablauf nun stichwortartig beschrieben: 

A: [nitialisierung 

1. Chipkarte CHK und Handlerkasse KA werden in 
einen Grundzustand RES versetzt. 

2. Die Handlerkasse KA bestimmt ein Anwen- 
dungsdatenfeld ADF (Application Data Field). Da- 
durch wird das maBgebliche Protokoll SELPRO in 
der Chipkarte CHK gewahlt. Die Chipkarte CHK 
quittiert dies durch Ubertragen eines Statussignals 
STA. 

3. Die Handlerkasse KA ubermittelt eine Block- 
nummer BNR(A). Dadurch wird eine bestimmte 
Speicherstelle in der Chipkarte CHK durch die 
Funktion READ gelesen. Die Chipkarte CHK 
ubermittelt die gelesene Kartennummer CHKNR 
an die Handlerkasse KA. 

4. Die Handlerkasse KA iibertragt eine Blocknum- 
mer BNR(D). Dadurch wird ein Buchungszahler- 
stand BZ in der Chipkarte CHK gelesen und zur 
Handlerkasse KA ubertragen. 

5. Die Handlerkasse KA ubermittelt dem Handler- 
kassensicherheitsmodul KASM einen Anwen- 
dungsnamen AN. Dadurch wird ein Protokoll SEL- 
PRO gewahlt. Das Handlerkassensicherheitsmodul 
KASM quittiert durch ein Statussignal STA. 

B: Gegenseitige Authentication AUTH, Chipkarte 
CHK - Handlerkasse KA 

6. Das Handlerkassensicherheitsmodul KASM ge- 
nerieri eine erste Zufallszahl V. 

7. Die Handlerkasse KA ruft mit dem Signal CALA 
und der Ubertragung der ersten Zufallszahl V eine 
Funktion CALAP zur Berechnung eines Anerken- 
nungsparameters AP auf. Dieser Anerkennungspa- 
rameter AP wird von der Chipkarte CHK zur 
Handlerkasse KA ubertragen. 

8. Die Handlerkasse KA ruft durch die Ubertra- 
gung des Signals CALA. der Chipkartennummer 
CHKNR und des Anerkennungsparameters AP ei- 
ne Funktion AUTHCHK zur Authentication der 
Chipkarte CHK im Kassensicherheitsmodul 
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KASM auf. Das Kassensicherheitsmodul KASM 
quittiert die Richtigkeit des Anerkennungsparame- 
ters AP. 

9. Die Chipkarte CHK erzeugt mit Hilfe ihres Zu- 
fallsgenerators GENRAN eine zweite Zufallszahl : , 
V und ubertragt diese an die Handlerkasse KA. 

10. Die Handlerkasse KA ubertragt ein Signal CA- 
LA und die zweite Zufallszahl V an das Handler- 
kassenmodul KASM. Dadurch wird die Funktion 
zur Berechnung des Anerkennungsparameters AP' iq 
aufgerufen. dieser Anerkennungsparamter AP' 
liegt der Handlerkasse KA vor. 

1 1. Die Handlerkasse KA ubertragt ein Signal CA- 
LA und den zweiten Anerkennungsparameter AP' 

an die Chipkarte CHK. Dadurch wird eine Funk- 15 
tion AUTHKA zur Authentifikation AUTH der 
Handlerkasse KA aufgerufen. Die Chipkarte CHK 
bestatigt die Richtigkeit des zweiten Anerken- 
nungsparameters AP' durch eine Quittung OK. 

20 

C: Herstellen der On-Line- Verbindung zum 
Host-Rechner HO 

12. Die Handlerkasse KA ubertragt eine Block- 
nummer BNR(C) an die Chipkarte CHK. Dadurch 2 s 
wird die Lesefunktion READ aufgerufen und das 
aktuelle Guthaben GUT und das Zertifikat CERFA 

an die Handlerkasse KA ubertragen. 

13. Die Handlerkasse KA ubermitteit ein Signal 
CALM und Daten DAT1, die mindestens das Gut- jo 
haben GUT und das fahrscheinautomatenspezifi- 
sche Zertifikat CERFA umfassen an das Handler- 
kassensicherheitsmodul KASM. Dadurch wird eine 
Funktion CALMAC zur Berechnung eines Messa- 
ge Authentificationcodes MAC gestartet. Der 35 
MAC und die Daten DAT1 werden zum Host- 
Rechner HO ubertragen. 

14. 1m Host-Rechner-Sicherheitsmodul HOSM 
wird durch Ubertragung des Anwendungsnamens 
AN das Proiokoll SELPRO gewahlt. Das Host- 40 
Rechner-Stcherheitsmodul HOSM quittiert es 
durch ein Statussignal STA. 

15. Der Host-Rechner HO ubertragt ein Signal 
CALK und eine Handlernummer KANR an das 
Handlerkassensicherheitsmodul HOSM. Dadurch 45 
wird eine Schlusselberechnungsfunktion CALKEY 
gestartet. Nach erfolgreicher Abarbeitung der 
Funktion CALKEY erhalt der Host-Rechner HO 
eine Quittung OK. 

16. Ubertragung eines Signals CHECKM und der 50 
Daten DATl zum Host-Rechner-Sicherheitsmodul 
HOSM. Dadurch Aufruf einer Uberprufungsfunk- 
tion CHECKMAC fur den MAC und Quittung OK 

an Host-Rechner HO. 

17. Generierung einer Zufallszahl V im Zufallszah- 55 
lengenerator GENRAN des Host-Rechner-Sicher- 
heitsmoduls HOSM und Ubertragung der Zufalls- 
zahl V an die Handlerkasse KA. 

18. Aufruf der Schlusselberechnungsfunktion CAL- 
KEY im Handlerkassensicherheitsmodul KASM b o 
durch Ubertragung eines Signals CALK und der 
Chipkartennummer CHKNR von der Handlerkas- 
se KA zum Handlerkassensicherheitsmodul KASM 
sowie Quittung OK an Handlerkasse KA. 

19. Ubertragung des Signals CALM und eines t>5 
Geldbetrags BETR von der Handlerkasse KA zum 
Handlerkassensicherheitsmodul KASM. Dadurch 
Start der Funktion CALMAC zur Berechnung ei- 
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nes MAC und Ubertragung des MAC an die Hand- 
lerkasse KA. 

20. Ubertragung des Signals CHECKM, des Geld- 
betrags BETR und des MAC von der Handlerkasse 
KA zur Chipkarte CHK. Dadurch Start der Uber- 
prufungsfunktion CHECKMAC fur MAC und 
Quittung OK an Handlerkasse KA. 

D: Gegenseitige Authentifikation AUTH, Handlerkasse 
KA - Host-Rechner HO 

21. Funktion CA LAP zur Berechnung des Anerken- 
nungsparameters AP wird durch das Signal CALA 
und die Zufallszahl V aufgerufen. 

22. Im Handlerkassensicherheitsmodul KASM wird 
eine Zufallszahl V generiert und gemeinsam mit 
dem Anerkennungsparameter AP zum Host-Rech- 
ner HO ubertragen. 

23. Funktion AUTHKA im Host-Rechner-Sicher- 
heitsmodul HOSM wird durch das Signal CALA 
die Handlerkassennummer KANR und den Aner- 
kennungsparameter AP aufgerufen. Es erfolgt 
Quittung OK. 

24. Durch das Signal CALA und die Zufallszahl V 
wird Funktion CALAP zur Berechnung eines wei- 
teren Anerkennungsparameters AP' gestartet. 

25. Im Host-Rechner-Sicherheitsmodul HOSM 
wird eine weitere Zufallszahl V erzeugt und ge- 
meinsam mit dem Anerkennungsparameter AP' an 
die Handlerkasse KA ubertragen. 

26. Durch das Signal CALA und den Anerken- 
nungsparameter AP' wird im Handlerkassensicher- 
heitsmodul KASM die Funktion AUTHHO zur Au- 
thentifikation des Host-Rechners HO gestartet. 
Quittung OK an Handlerkasse KA. 

E: Gegenseitige Authentifikation AUTH. Chipkarte 
CHK - Host-Rechner HO 

27. Start der Funktion CALAP durch Ubertragung 
des Signals CALA und der vom Host-Rechner HO 
erzeugten Zufallszahl V an die Chipkarte CHK. 
Ubertragung des Anerkennungsparameters AP an 
Handlerkasse KA. 

28. Zufallszahlengenerator GEN RAN der Chipkar- 
te CHK generiert eine Zufallszahl V. Diese wird 
iiber die Handlerkasse K A gemeinsam mit dem An- 
erkennungsparameter AP zum Host-Rechner HO 
ubertragen. 

29. Funktion AUTHCHK zur Authentifikation der 
Chipkarte CHK im Host-Rechner-Sicherheitsmo- 
dul HOSM wird durch das Signal CALA, die Chip- 
kartennummer CHKNR und den Anerkennungs- 
parameter AP gestartet. Quittung OK an Host- 
Rechner HO. 

30. Funktion CALAP zur Berechnung eines neuen 
Anerkennungsparameters AP' wird durch das Si- 
gnal CALA und die Zufallszahl V gestartet. 
Uberprufung, ob eine Sperre SP fur die Chipkarte 
CHK vorliegt; wenn ja: Fortsetzung mit den Schrit- 
ten Nummer 32a - 32f. Andernfalls Ubertragung 
des Anerkennungsparameters AP' an Handlerkas- 
se KA. 

31. Funktion AUTHHO zur Authentifikation des 
Host-Rechners HO wird durch das Signal CALA 
und den Anerkennungsparameter AP' in der Chip- 
karte CHK gestartet, Quittung OK an Handlerkas- 
se. Fortsetzung mit Schritt Nummer 33. 



♦ DE 41 19 

9 

F: Abbruch der Anwendung bei vorliegender Sperre SP 
fur Chipkarte CHK 

32a. Generierung einer Zufallszahl V» im Host- 
Rechner-Sicherheitsmodul HOSM und Obertra- 5 
gung dieser Zufallszahl V* und des zuletzt errech- 
neten Anerkennungsparameters AP' an Handier- 
kasse KA. 

32b. Aufruf der Funktion CHKSP zum Sperren der 
Chipkarte durch Obertragen des Anerkennungspa- 10 
rameters AP' und der Zufallszahl V* an die Chip- 
karte CHK. Chipkarte ubertragt daraufhin einen 
weiteren Anerkennungsparameter AP* an Host- 
Rechner HO. 

32c. Aufruf der Funktion AUTHCHK zur Authen- 15 
tifikation AUTH der Chipkarte CHK durch das Si- 
gnal CALA und den Anerkennungsparameter AP*. 
QuittungOK an Host-Rechner HO. 
32d. Obertragung der Quittung OK an Handierkas- 
se und Beenden der Anwendung CLPRO im Host- 20 
Rechner HO. 

32e. Beenden der Anwendung CLPRO in der Hand- 
lerkasse KA, Abgabe eines Quittungssignals OK an 
Chipkarte CHK. 

32f. Beenden der Anwendung CLPRO in der Chip- 75 
karteCHK. 

G: Oberprufung des Guthabens GUT im Host-Rechner 

HO 

10 

33. Die Schritte 32a -32f wurden ausgelassen. die 
Handlerkasse ubertragt Blocknummern BNR(B). 
BNR(C) an die Chipkarte CHK. In der Chipkarte 
werden Daten DAT2, die das Guthaben GUTH, ein 
kartenspezifisches Zertifikat CERCHK und ein 35 
fahrscheinautomatenspezifisches Zertifikat CER- 
FA umfassen, gelesen und ein MAC dazu erstellt. 
DAT2 und MAC werden an die Handlerkasse KA 
ubertragen. 

34. Im Zufallsgenerator GENRAN der Chipkarte 40 
CHK wird eine Zufallszahl V erzeugt und an die 
Handlerkasse KA ubertragen. Die Handlerkasse 
KA ubertragt die Daten DAT2, den MAC und die 
Zufallszahl V an den Host-Rechner HO. 

35. Aufruf der Schlusselberechnungsfunktion CAL- 45 
KEY durch das Signal CALK und die Chipkarten- 
nummer CHKNR. Quittung OK an, Host-Rechner 
HO. 

36. Aufruf der Oberpriifungsfunktion CHECK- 
MAC durch Obermittlungssignal CHECKM. die 
Daten DAT2 und den MAC. Quittung OK an Host- 
Rechner HO. 

37. Aufruf der Funktion CHECKCER zur Oberpru- 
fung des Fahrkartenautomatenzertifikates CERFA 
durch Obermittlung eines Signals CHECKC. durch 
das Guthaben GUT und das Zertifikat CERFA. 
Quittung OK an Host-Rechner HO. 

38. Aufruf der Schlusselberechnungsfunktion CAL- 
KEY durch das Signal CALK und die Chipkarten- 
nummer CHKNR. Quittung OK an Host-Rechner 
HO. 

39. Aufruf der Uberprufungsfunktion CHECKCER 
fiir das chipkartenspezifische Zertifikat CERCHK 
durch Ubermittlung des Signals CHECKC, durch 
das Guthaben GUT und das Zertifikat CERCHK. 6 5 
Quittung OK an Host-Rechner HO. 
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H: Erstellen des neuen Guthabens NGUT 

40. Aufruf einer Zertifikatsberechnungsfunktion 
CALCER durch ein Signal CALC und des neue 
Guthaben NGUT Neues Fahrkartenautomatenz- 
ertifikat NCERFA an Host-Rechner HO. 

41. Aufruf der Schliisselberechnungsfunktion CAL- 
KEY durch das Signal CALK und die Chipkarten- 
nummer CHKNR. Quittung OK an Host Rechner 
HO. 

42. Aufruf der Zertifikatsberechnungsfunktion 
CALCER durch das Signal CALC und das neue 
Guthaben NGUT. Obertragung des neuen chipkar- 
tenspezifischen Zertifikats NCERCHK an Host- 
Rechner HO. 

43. Aufruf Schlusselberechnungsfunktion CAL- 
KEY durch Signal CALK und Chipkartennummer 
CHKNR. QuittungOK an Host-Rechner HO. 

44. Aufruf Funktion CALMAC zur Berechnung des 
MAC durch das Signal CALM der mit Position 34 
von der Chipkarte CHK zum Host-Rechner HO 
ubermittelten Zufallszahl V und die Daten DAT3, 
die unter anderem die beiden neuen Zertifikate 
NCERCHK und NCERFA umfassen. Der errech- 
nete MAC und die Daten DAT3 werden an die 
Handlerkasse KA iibermittelt. 

I: Chipkarte CHK aufbuchen und Anwendung beenden 

45. Aufruf der Uberprufungsfunktion CHECK- 
MAC zur Oberprufung des MAC durch das Signal 

. CHECKM. die Daten DAT3 und den MAC. An- 
schlieBend Speichern des neuen Guthabens NGUT 
und der beiden neuen Zertifikate NCERFA. 
NCERCHK. Quittung OK an Handlerkasse KA 
und Host-Rechner HO. 

46. Aufruf der Funktion "Anwendung beenden" 
CLPRO im Host-Rechner HO. in der Handlerkasse 
KA und in der Chipkarte CHK. 

Anhand der Fig. 5a bis 5d wird im folgenden der Ver- 
fahrensablauf beim Abbuchen des Guthabens GUT ei- 
ner Chipkarte CHK. die in einem System gemaB den 
Fig. 2 und 3 verwendet wird, dargelegt. Der Verfahrens- 
ablauf ist. wie beim Aufbuchen, eine Abfolge einzelner 
Funktionen. Die am Abbuchungsvorgang beteiligten 
Systemkomponenten sind: 

— eine Chipkarte CHK 
so — ein Fahrscheinautomat FA mit Sicherheitsmodul 
FASM. 

Der Aufbau der Figur entspricht im Prinztp der Fig. 4. 
Anhand der Funktionsnumerierung wird der Verfah- 
55 rensablauf nun stichwortartig beschrieben: 

A: Initialisierung INIT 

1. Reset zur Erreichung des Grundzustandes RES 
bo in Chipkarte CHK und Fahrscheinautomat FA. 

2. Aufruf eines Protokolls SELPRO durch Ubermit- 
teln eines Anwendungsdatenfeldes ADF an die 
Chipkarte CHK, Ouittung durch Statussignal STA 
an Fahrkartenautomat FA. 

3! Aufruf des Protokolls SELPRO im Fahrkarten- 
automat FA durch den Anwendungsnamen AN. 
Quittung durch Statussignal STA. 
4. Obertragung einer Blocknummer BNR(A) zur 
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Chipkarte CHK. in der Lesefunktion READ akti- 
viert wird. Ubertragung der Chipkartennummer 
CHKNRan Fahrkartenautomat FA. 

B: Authemifikation AUTH 5 

5. Generierung einer Zufallszahl V in Fahrkarten- 
automaten FA. 

6. Aufruf der Funktion CALAP zur Berechnung des 
Anerkennungsparameters A P. 10 

7. Aufruf der Funktion AUTHCHK zur Authentifi- 
kation AUTH der Chipkarte CHK durch das Signal 
GALA, die Chipkartennummer CHKNR und den 
Anerkennungsparameter AP. Quittung OK an 
Fahrkartenautomat FA. 13 

8. Generieren einer Zufallszahl V in der Chipkarte 
CHK. 

9. Aufruf der Funktion CALAP zur Berechnung des 
Anerkennungsparameters AP' mil Hilfe des Signals 
CALA und der Zufallszahl V. 20 

10. Aufruf der Funktion AUTHFA zur Authemifi- 
kation AUTH des Fahrkartenautomaten FA durch 
das Signal CALA und den Anerkennungsparame- 
ter AP' in der Chipkarte CHK. Quittung OK an 
Fahrkartenautomat FA. 2 5 

11. Generierung einer Zufallszahl V mit Hilfe der 
Funktion GENRAN im Fahrkartenautomat FA. 

12. Obertragung einer Blocknummer BNR(C) und 
der Zufallszahl V an die Chipkarte CHK. Funktion 
READ liest Guthaben GUT und Fahrkartenauto- 30 
matenzertifikat CERFA aus und berechnet dazu 
einen MAC. GUT, CERFA und MAC werden an 
Fahrkartenautomat FA ubermittelt. 

13. Aufruf der Schlusselberechnungsfunktion CAL- 
KEY durch das Signal CALK und die Chipkarten- 
nummer CHKNR. Quittung OK an Fahrkartenau- 
tomat FA. 

14. Aufruf der Uberpriifungsfunktion CHECK- 
MAC fur den MAC durch das Signal CHECKM, 
das Guthaben GUT. das Fahrkartenautomatenzer- 40 
tifikat CERFA und den MAC Quittung OK an den 
Fahrkartenautomaten FA. 

15. Aufruf der Uberpriifungsfunktion CHECKCER 
durch das Signal CHECKC, Quittung OK von 
Fahrkartenautomatensicherheitsmodul FASM an 45 
Fahrkartenautomat FA, Anzeige von Guthaben 
GUT am Display des Fahrkartenautomaten FA, 
Auswahl der Fahrscheinart durch den Kunden KU. 
Bestatigung durch den Kunden KU. 

16. Aufruf einer Berechnungsfunktion CALGUT 50 
durch das Signal CALG und den Geldbetrag BETR. 
Nach Abarbeiten der Funktion liegt das neue Gut- 
haben NGUTim Fahrkartenautomaten FA vor. 

17. Aufruf Zertifikationsberechnungsfunktion 
CALCER durch das Signal CALC und des neue 55 
Guthaben NGUT. Es liegt das neue Fahrkartenau- 
tomatenzertifikat NCERFA vor. 

18. Aufruf der Funktion CALMAC durch das Signal 
CALM, das neue Zertifikat NCERFA. die Fahrkar- 
tenautomatennummer FANR, das aktuelle Datum 60 
DATU und das neue Guthaben NGUT. MAC liegt 

im Fahrkartenautomaten FA vor. 

19. Aufruf der Uberpriifungsfunktion CHECK- 
MAC in der Chipkarte CHK durch Ubermitteln des 
Signals CHECKM. des neuen Zertifikats NCERFA. b5t 
der Automatennummer FANR. des aktuellen Da- 
tums DATU und des neuen Guthabens NGUT. 
Quittung OK an Fahrkartenautomat FA. 
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20. Aufruf eines Plausibilitatstestes PLAU anhand 
des Guthabens GUT und des neuen Guthabens 
NGUT (NGUT muB kleiner sein als GUT). Quit- 
tung OK. 

21. Aufruf der Berechnungsfunktion CALCER zur 
Berechnung des neuen chipkartenspezifischen Zer- 
tifikates NCERCHK durch das Signal CALC. an- 
schlieBend Speichern der Buchung in Chipkarte 
CHK und Fahrkartenautomat FA. 

22. Beenden der Anwendung durch Ablauf der 
Funktion CLPRO im Fahrkartenautomaten FA und 
in der Chipkarte CHK. 

Patentanspruche 

1. Verfahren zur Sicherung von ladbaren Guthaben 
in fur Debitanwendungen benutzte Chipkarten. die 
mit Abbuchungs- und Aufbuchungsstellen uber de- 
finierte, bei einer Initialisierung der Kommunika- 
tionspartner ausgewahlte Protokolle nach erfolgter 
Authentifikation kommunizieren. mit folgenden 
Verfahrensschritten: 

a) Ubermitteln eines Datenblocks (DAT) von 
der Chipkarte (CHK) zur Abbuchungsstelle 
(FA) bzw. Aufbuchungsstelle (KA, HO), der 
sich mindestens zusammensetzt aus 

aa) einem auf der Chipkarte (CHK) ge- 
speicherten Guthaben (GUT) 

ab) und mindestens einem, durch einen 
Verschlusselungsalqorithmus aus zumin- 
dest einem zwischen den moglichen Kom- 
munikationspartnern gultigen Schlussel 
(K) und dem Guthaben (GUT) bestimm- 
ten Zertifikat (CER) 

b) Uberprufen der Gultigkeit des ubertrage- 
nen Guthabens (GUT) durch die Aufbu- 
chungsstelle (KA, HO) bzw. Abbuchungsstelle 
(FA) mit Hilfe mindestens eines Zertifikates 
(CER) 

c) Ersteltung eines neuen Guthabens (NGUT) 
durch Subtraktionbzw. Addition eines Geldbe- 
trages (BETR) zum ubermittelten Guthaben 
(GUT) 

d) Bestimmung mindestens eines neuen Zertifi- 
kats (NCER) mit Hilfe des Verschliisselungsal- 
gorithmus aus zumindest einem zwischen den 
moglichen Kommunikationspartnern gultigen 
Schlussel (K) und dem neuen Guthaben 
(NGUT) 

e) Speichern des neuen Guthabens (NGUT) 
oder einer entsprechenden Information und 
des neuen Zertifikates (NCER) zumindest in 
der Chipkarte (CHK). 

2. Verfahren zur Sicherung nach Anspruch 1. da- 
durch gekennzeichnet, daB vor jeder Datenuber- 
mittlung fur jeden zu ubermittelnden Datenblock 
(DAT) ein Message-Authentifikation-Code (MAC) 
gebildet und anschlieBend zusammen mit dem Da- 
tenblock (DAT) an den Kommunikationspartner 
ubermittelt wird. 

3. Verfahren zur Sicherung nach einem der Anspru- 
che 1 oder 2. dadurch gekennzeichnet, daB zum 
Aufbuchen des Guthabens (GUT) auf der Chipkar- 
te (CHK) die Chipkarte (CHK) mit einem Aufbu- 
chungsterminal (KA) verbunden wird, daB nach 
dem Initialisierungsvorgang (INIT) das Aufbu- 
chungsterminal (KA) On-Line mit einem Host- 
Rechner (HO) verbunden wird, und daB die Uber- 



DE 41 19 924 

13 

prufung des Guthabens (GUT) im Host-Rechner 
(HO)erfolgt. 

4. Verfahren zur Sicherung nach Anspruch 3. da- 
durch gekennzeichnet. daB der Host-Rechner (HO) 
die/das neue(n) Zertifikat(e) (NCER) zum neuen 5 
Guthaben(NGUT) bestimmt. 

5. Verfahren zur Sicherung nach einem der vorher- 
gehenden Anspriiche 3 oder 4, dadurch gekenn- 
zeichnet, daB zwischen jeder Chipkarte (CHK) und 
dem Host-Rechner (HO) ein Chipkartenschliissel 10 
(K(A), K(B)) und zwischen den Abbuchungsstellen 
(FA) und dem Host-Rechner (HO) ein Abbu- 
chungsschliissel (K(FA)) zur Bestimmung eines 
Zertifikates (CER) vereinbart sind, und daB jedem 
Guthaben (GUT) ein mit Hilfe des Chipkarten- 15 
schlussels (K(A), K(B)) bestimmtes erstes Zertifikat 
(CERCHK) und ein mit Hilfe des Abbuchungs- 
schliissels (K(FA)) bestimmtes zweites Zertifikat 
(CERFA) angefugt wird. 

6. Verfahren zur Sicherung nach Anspruch 5, da- 20 
durch gekennzeichnet, daB beim Abbuchungsvor- 
gang das zweite neue Zertifikat (NCERFA) durch 
die Abbuchungsstelle (FA) bestimmt wird und daB 
das erste neue Zertifikat (NCERCHK) durch die 
Chipkarte (CHK) bestimmt wird. 25 

7. Verfahren zur Sicherung nach einem der vorher- 
gehenden Anspriiche, dadurch gekennzeichnet, daB 
nach jeder Aufbuchung oder Abbuchung eines 
Guthabens (GUT) ein Quittungsdruck (T. J) erstellt 
wird. jo 

8. Verfahren zur Sicherung nach einem der Ansprii- 
che 1 bis 4, dadurch gekennzeichnet, daB das Gut- 
haben (GUT) in der Chipkarte (CHK) in Form ei- 
ner Mehrzahl von Gutschetnen eines bestimmten 
Nominalwertes gespeichert wird, und daB jedem j.5 
Gutschein ein Zertifikat (CER) angefugt wird. 

9. Verfahren zur Sicherung nach Anspruch 8, da- 
durch gekennzeichnet, daB die Abbuchungsstelle 
(FA) jeweils eine vom abzubuchenden Geldbetrag 
(BETR) bestimmte Menge Gutscheine auf der 40 
Chipkarte(CHK) ungiiltig macht. 

10. .Verfahren zur Sicherung nach einem der vor- 
hergehenden Anspruche, dadurch gekennzeichnet, 
daB vor dem Erstellen eines neuen Guthabens 
(NGUT) eine Sperrdatei abgefragt wird. 45 
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